Proteger prontuários de cibercriminosos é o grande desafio da Saúde, alerta advogado

Evitar o vazamento de dados continua sendo o principal desafio em um ambiente de digitalização permanente, e o setor de saúde não foge à regra.

A área lida diariamente com um volume expressivo de informações pessoais sensíveis, como prontuários médicos, diagnósticos, resultados de exames, tratamentos e registros de medicamentos.

"E o vazamento de dados pode ter consequências graves tanto para a privacidade e segurança das pessoas, bem como para a existência e reputação das empresas e entidades que atuam no segmento", alerta Rafael Federici, sócio do Comparato, Nunes, Federici & Pimentel Advogados, especialista em Direito Digital e Proteção de Dados.

Segundo o especialista, outros temas também seguem entre os principais desafios das organizações do setor, especialmente a dificuldade de equilibrar orçamentos limitados com a necessidade de investimentos contínuos em tecnologia.

Isso inclui desde o controle e o registro do tratamento de dados pessoais, por meio de softwares operados por profissionais de saúde, até o armazenamento seguro nas bases de dados.

"A terceirização da cadeia de suprimentos e serviços, com compartilhamento de dados pessoais, o que adiciona camadas de complexidade à proteção de dados, exigindo a adoção de padrões rigorosos de todos os envolvidos e o treinamento contínuo dos recursos humanos e a formação de uma cultura em governança e proteção de dados pessoais, abrangendo tanto os colaboradores internos como os parceiros externos, fornecedores e terceirizados, também estão na lista dos desafios", ressalta Rafael Federici.

Digitalização e risco cibernético

O especialista explica ainda a relação direta entre a digitalização dos serviços de saúde e o aumento das fraudes e ataques cibernéticos.

De acordo com Rafael Federici, quanto maior o volume de dados pessoais digitalizados no ambiente das entidades de saúde, maior a exposição a ataques, especialmente porque os chamados dados "sensíveis", conforme a LGPD, têm alto valor no mercado ilegal.

"Esses dados sensíveis podem incluir informações mais detalhadas sobre as pessoas, como religião, etnia, tipo sanguíneo, histórico de exames e enfermidades, tratamentos, compras de materiais e medicamentos, contatos de parentes e equipe médica etc".

"Naturalmente, este conjunto de informações sensíveis permite uma utilização mais qualificada dos dados para finalidades criminosas diversas, e isso acaba atraindo uma quantidade maior de criminosos e de ataques sofisticados", detalha o especialista.

Como reduzir os riscos

Grande parte da exposição das empresas pode ser minimizada com atenção e investimentos constantes em tecnologia, segurança da informação e cultura organizacional voltada à proteção de dados, explica Rafael Federici.

"No campo tecnológico, um problema comum envolve a utilização de sistemas de TI antigos, mais difíceis de proteger e de integrar com novas tecnologias mais seguras. O uso de sistemas legados e fragmentados acaba sendo um cenário fértil para invasões e vazamentos".

"Da mesma forma, sistemas operacionais e softwares de tratamento desatualizados ou sem arquitetura adequada, operados diariamente por profissionais de saúde, também colaboram para o aumento dos riscos".

Por isso, o advogado recomenda a manutenção de práticas rigorosas e investimentos permanentes em infraestrutura de TI. O uso de criptografia de dados, controles de acesso, sistemas de detecção de intrusão, auditorias de segurança e backups regulares e seguros pode fazer a diferença.

"No campo da governança, o treinamento e reciclagem contínua dos colaboradores, o estabelecimento de regras, políticas e práticas internas e externas rigorosas sobre proteção de dados (privacy by default), bem como a criação de produtos e serviços com atenção à proteção de dados desde as etapas iniciais de seu desenvolvimento (privacy by design), continuam a ser consideradas práticas que trazem grandes benefícios para proteção e segurança dos dados pessoais", destaca Rafael Federici.

Use a LGPD a seu favor

A LGPD trouxe um marco transformador para o setor de saúde, elevando o nível de responsabilidade das empresas em relação à segurança da informação, avalia Rafael Federici.

"Ela torna obrigatória a proteção e segurança dos dados, a necessidade de base legal para tratamento, a garantia de direitos dos titulares de dados, a responsabilização e penalização de condutas ilegais ou inconformes, o incentivo a boas práticas e a obrigatoriedade da notificação de incidentes", afirma o especialista.

"Da mesma forma, a adoção de princípios restritivos ao compartilhamento de dados sensíveis de saúde, sujeitando-o a condições e situações específicas, também é uma conquista", acrescenta o advogado.

Educação digital e conscientização

Apesar dos avanços legais e tecnológicos, a falta de conscientização ainda é um obstáculo. Muitas pessoas não compreendem os riscos do compartilhamento de informações pessoais ou não sabem como proteger suas credenciais, observa Rafael Federici.

"Muitos usuários não compreendem os riscos associados ao compartilhamento de informações pessoais ou como proteger suas próprias credenciais. Muito pode ser feito neste sentido, como: campanhas nacionais e setoriais, envolvendo, por exemplo, a ANPD, Ministério da Saúde, associações médicas, entidades de saúde e até mesmo influenciadores digitais".

Outras medidas, segundo o especialista, envolvem ações voltadas diretamente aos consumidores.

"Disponibilização de informações claras, acessíveis e simplificadas por empresas e operadores de saúde, tanto nas políticas, termos de uso e documentos de consentimento, como nos alertas e dicas de segurança, e, ainda, nos canais de atendimento; além de educação sobre o tema nas escolas, universidades e cursos".

Futuro da digitalização na saúde

Rafael Federici vê o futuro da digitalização na saúde com otimismo cauteloso. "Há grandes oportunidades em áreas como acessibilidade e qualidade do tratamento, eficiência operacional para empresas, empoderamento do paciente e inovação e pesquisa através dos dados".

Por outro lado, existem vulnerabilidades contínuas, alerta o especialista.

"Pois tanto os sistemas de TI como as fraudes evoluem continuamente, além de desigualdade digital no acesso a tecnologias e falta de confiança da população em matéria de digitalização de dados (o que afeta a adesão às inovações)".

"Ou seja, as oportunidades são imensas e transformadoras, mas dependem intrinsecamente da capacidade de mitigar os riscos de segurança e privacidade", completa Rafael.

Confira os sinais de alerta para fraudes:

• Contato inesperado e urgente: e-mails, SMS ou ligações que solicitam informações médicas ou financeiras urgentes, alegando ser de sua operadora de saúde, hospital ou médico, sem que você tenha solicitado. Empresas legítimas raramente pedem dados sensíveis por esses meios sem um contato prévio;
• Erros de ortografia ou gramática: mensagens de texto ou e-mails com erros grosseiros são um forte indício de fraude (phishing);
• Links suspeitos: links em e-mails ou mensagens que parecem ser de sua operadora, mas apontam para endereços da web estranhos ou ligeiramente diferentes do oficial. Sempre verifique o URL antes de clicar;
• Solicitação de senhas ou códigos de segurança: nenhuma instituição de saúde legítima pedirá sua senha completa ou códigos de segurança (como tokens de autenticação) por e-mail, telefone ou mensagem;
• Ameaças de cancelamento: ameaças de suspensão ou cancelamento de serviços ou agendamentos caso você não forneça informações imediatamente;
• Atividades estranhas em extratos ou aplicativos: notar cobranças desconhecidas em seu plano de saúde, uso de serviços médicos que você não utilizou ou atividades não reconhecidas em aplicativos de saúde;
• Aparência de site falso: se um site de saúde pedir para você fazer login, observe a URL e o certificado de segurança (o cadeado ao lado do endereço). Sites falsos podem ter URLs parecidas, mas com pequenos erros ou sem o certificado de segurança.